Delen via

Een certificeringsinstantie migreren

Het migreren van een certificeringsinstantie (CA) zorgt voor de continuïteit van de certificaatservices van uw organisatie. Deze handleiding bevat stapsgewijze instructies en aanbevolen procedures voor het migreren van een CA. Het behandelt essentiële taken, zoals het maken van een back-up van de CA-database en de persoonlijke sleutel, het verwijderen van de CA-functieservice van de bronserver en het herstellen van de CA op de doelserver. Of u nu de module Certificeringsinstantie, Windows PowerShell of opdrachtregelprogramma's zoals Certutil gebruikt, deze handleiding biedt gedetailleerde stappen die zijn afgestemd op verschillende migratiescenario's. Volg deze instructies om een soepel en veilig migratieproces te garanderen.

Prerequisites

Voordat u uw certificeringsinstantie (CA) migreert, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan.

U moet over het volgende beschikken:

  • Beheerderstoegang voor zowel de bron- als doelservers. Voor ca's voor ondernemingen moet u lid zijn van de groep Ondernemingsadministrators of Domeinadministrators.
  • Toegang tot hulpprogramma's zoals de module Certificeringsinstantie, PowerShell of Certutil voor het uitvoeren van back-ups en herstelbewerkingen.
  • Een veilige en toegankelijke locatie voor het opslaan van back-upbestanden. Zorg ervoor dat de locatie is beveiligd tegen onbevoegde toegang.
  • Netwerkverbinding tussen de bron- en doelservers.
  • Voor failoverclustering:
    • Gedeelde opslag geconfigureerd en toegankelijk.
    • Clusterknooppunten die correct zijn ingesteld en machtigingen worden verleend.

Door deze vereisten te voltooien, kunt u een soepele en veilige migratie van uw certificeringsinstantie garanderen.

Back-ups uitvoeren

Voordat u begint met het migreren van uw CA, moet u eerst een back-up maken van het volgende:

  • CA-database
  • Persoonlijke sleutel(en)
  • CA-registerinstellingen
  • CAPolicy.inf-bestand
  • De lijst met CA-sjablonen (alleen vereist voor CA's voor ondernemingen)

Voordat u doorgaat met het verwijderen van de CA-rol, moet u ook een CRL met een verlengde geldigheidsperiode publiceren.

Een back-up maken van een CA-database en persoonlijke sleutel

U kunt een back-up maken van de CA-database en de persoonlijke sleutel met behulp van de module Certificeringsinstantie, PowerShell of Certutil. Voer een van de back-upprocedures uit die in deze sectie worden beschreven terwijl u bent aangemeld bij de bron-CA.

U moet een account gebruiken dat een CA-beheerder is. Op een ca voor ondernemingen bevat de standaardconfiguratie voor CA-beheerders de lokale groep Administrators, de groep Ondernemingsadministrators en de groep Domeinadministrators. Op een zelfstandige CA bevat de standaardconfiguratie voor CA-beheerders de lokale groep Administrators.

Note

Als een hardwarebeveiligingsmodule (HSM) wordt gebruikt door de CA, maakt u een back-up van de persoonlijke sleutels door de procedures van de HSM-leverancier te volgen.

Nadat u de back-upstappen hebt voltooid, moet de Active Directory Certificate Services-service (Certsvc) worden gestopt om de uitgifte van meer certificaten te voorkomen. Voordat u de CA-functieservice toevoegt aan de doelserver, moet de CA-functieservice worden verwijderd van de bronserver.

De back-upbestanden die tijdens deze procedures zijn gemaakt, moeten op dezelfde locatie worden opgeslagen om de migratie te vereenvoudigen. De locatie moet toegankelijk zijn vanaf de doelserver.

In de volgende stappen wordt beschreven hoe u een back-up maakt van de CA-database en de persoonlijke sleutel door in Serverbeheer te beginnen en de module Certificeringsinstantie te gebruiken.

  1. Kies indien nodig een back-uplocatie en voeg media toe.

  2. Meld u aan bij de bron-CA.

  3. Selecteer hulpprogramma's in Serverbeheer en vervolgens certificeringsinstantie om de module te openen.

  4. Klik met de rechtermuisknop op het knooppunt met de CA-naam, wijs Alle taken aan en selecteer vervolgens Back-up-CA maken.

  5. Selecteer Volgende op de welkomstpagina van de wizard CA-back-up.

  6. Schakel op de pagina Items om een back-up te maken de selectievakjes van de Persoonlijke sleutel en CA-certificaat en de Certificaatdatabase en certificaatdatabase log in, geef de back-uplocatie op en selecteer vervolgens Volgende.

  7. Typ op de pagina Een wachtwoord selecteren een wachtwoord om de persoonlijke SLEUTEL van de CA te beveiligen en selecteer Volgende.

  8. Op de pagina Wizard Back-up voltooien, selecteer Voltooien.

  9. Nadat de back-up is voltooid, controleert u de volgende bestanden op de locatie die u hebt opgegeven:

    • CAName.p12 met het CA-certificaat en de persoonlijke sleutel

    • Databasemap met bestanden certbkxp.dat, edb#####.log en CAName.edb

  10. Open een opdrachtpromptvenster en typ net stop certsvc om de Active Directory Certificate Services-service te stoppen.

  11. Kopieer alle back-upbestanden naar een locatie die toegankelijk is vanaf de doelserver; Bijvoorbeeld een netwerkshare of verwisselbare media.

Back-up maken van CA-registerinstellingen

Voer een van de volgende procedures uit om een back-up te maken van de CA-registerinstellingen.

De bestanden die tijdens de back-upprocedure zijn gemaakt, moeten worden opgeslagen op dezelfde locatie als de back-upbestanden van de database en de persoonlijke sleutel om de migratie te vereenvoudigen. De locatie moet toegankelijk zijn vanaf de doelserver; Bijvoorbeeld verwisselbare media of een gedeelde map op de doelserver of een ander domeinlid.

U moet zijn aangemeld bij de bron-CA met een account dat lid is van de lokale groep Administrators.

Een back-up maken van registerinstellingen voor CA met behulp van Regedit.exe

  1. Selecteer Start, wijs Uitvoeren aan en typ regedit om de Register-editor te openen.

  2. Klik inHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvcmet de rechtermuisknop op Configuratie en selecteer Exporteren.

  3. Geef een locatie en bestandsnaam op en selecteer Opslaan. Hiermee maakt u een registerbestand met CA-configuratiegegevens van de bron-CA.

  4. Kopieer het registerbestand naar een locatie die toegankelijk is vanaf de doelserver; Bijvoorbeeld een gedeelde map of verwisselbare media.

Een back-up maken van registerinstellingen voor CA met behulp van Reg.exe

  1. Open een opdrachtpromptvenster.

  2. Typ reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<output file>.reg en druk op Enter.

  3. Kopieer het registerbestand naar een locatie die toegankelijk is vanaf de doelserver; Bijvoorbeeld een gedeelde map of verwisselbare media.

Een back-up maken van CAPolicy.inf

Als uw bron-CA een aangepast CAPolicy.inf-bestand gebruikt, moet u het bestand kopiëren naar dezelfde locatie als de back-upbestanden van de bron-CA.

Het BESTAND CAPolicy.inf bevindt zich in de map %SystemRoot%, meestal C:\Windows.

Een back-up maken van een lijst met CA-sjablonen

Aan een CA voor ondernemingen kunnen certificaatsjablonen worden toegewezen. Noteer de toegewezen certificaatsjablonen voordat u met de CA-migratie begint. De informatie wordt niet ondersteund door een back-up van de CA-database of van de registerinstellingen. Dit komt doordat certificaatsjablonen en hun koppeling met ondernemings-CA's worden opgeslagen in AD DS. U moet dezelfde lijst met sjablonen toevoegen aan de doelserver om de CA-migratie te voltooien.

Note

Het is belangrijk dat de certificaatsjablonen die aan de bron-CA zijn toegewezen, niet worden gewijzigd nadat deze procedure is voltooid.

U kunt de certificaatsjablonen bepalen die zijn toegewezen aan een CA met behulp van de module Certificeringsinstantie of de opdrachtCertutil.exe -catemplates .

Een lijst met CA-sjablonen vastleggen met behulp van de Certificeringsinstantie-module.

  1. Meld u aan met lokale beheerdersreferenties op de CA-computer.

  2. Open de module Certificeringsinstantie.

  3. Vouw in de consolestructuur de certificeringsinstantie uit en selecteer Certificaatsjablonen.

  4. Noteer de lijst met certificaatsjablonen door een schermopname te maken of door de lijst in een tekstbestand te typen.

Een lijst met CA-sjablonen opnemen met behulp van Certutil.exe

  1. Meld u aan met lokale beheerdersreferenties op de CA-computer.

  2. Open een opdrachtpromptvenster.

  3. Typ de volgende opdracht en druk op Enter.

    certutil.exe –catemplates > catemplates.txt

  4. Controleer of het bestand catemplates.txt de lijst met sjablonen bevat.

Note

Als er geen certificaatsjablonen aan de CA zijn toegewezen, bevat het bestand een foutbericht: 0x80070490 (element niet gevonden).

Een CRL publiceren met een verlengde geldigheidsperiode

Voordat u met ca-migratie begint, is het een goede gewoonte om een CRL te publiceren met een geldigheidsperiode die verder gaat dan de geplande migratieperiode. De geldigheidsduur van de CRL moet ten minste de tijdsduur zijn die is gepland voor de migratie. Dit is nodig om certificaatvalidatieprocessen op clientcomputers in te schakelen om door te gaan tijdens de migratieperiode.

U moet een CRL publiceren met een verlengde geldigheidsperiode voor elke CA die wordt gemigreerd. Deze procedure is met name belangrijk voor een basis-CA vanwege het potentieel grote aantal certificaten dat wordt beïnvloed door de onbeschikbaarheid van een CRL.

Standaard is de CRL-geldigheidsperiode gelijk aan de CRL-publicatieperiode plus 10 procent. Nadat u een geschikte CRL-geldigheidsperiode hebt vastgesteld, stelt u het CRL-publicatie-interval in en publiceert u de CRL handmatig door de volgende procedures uit te voeren: De publicatie van de certificaatintrekkingslijst plannen en de certificaatintrekkingslijst handmatig publiceren.

Important

Noteer de waarde van de CRL-publicatieperiode voordat u deze wijzigt. Nadat de migratie is voltooid, moet de CRL-publicatieperiode opnieuw worden ingesteld op de vorige waarde. Clientcomputers downloaden pas een nieuwe CRL nadat de geldigheidsperiode van een lokaal in de cache opgeslagen CRL verloopt. Daarom moet u geen CRL-geldigheidsperiode gebruiken die te lang is.

De CA-functieservice verwijderen van de bronserver

Het is belangrijk om de CA-functieservice te verwijderen van de bronserver na het voltooien van back-upprocedures en voordat u de CA-functieservice op de doelserver installeert. Enterprise-CA's en zelfstandige CA's die domeinleden zijn, slaan in Active Directory Domain Services (AD DS) configuratiegegevens op die gekoppeld zijn aan de algemene naam van de CA. Als u de CA-functieservice verwijdert, worden ook de CA-configuratiegegevens uit AD DS verwijderd. Omdat de bron-CA en de doel-CA dezelfde algemene naam hebben, leidt het verwijderen van de CA-rolservice van de bronserver, nadat de CA-rolservice op de doelserver is geïnstalleerd, tot het verwijderen van configuratiegegevens die vereist zijn voor de doel-CA en verstoort dit de werking ervan.

De CA-database, de persoonlijke sleutel en het certificaat worden niet verwijderd van de bronserver door de CA-functieservice te verwijderen. Als u de CA-functieservice opnieuw installeert op de bronserver, wordt de bron-CA hersteld als de migratie mislukt en een terugdraaiactie is vereist.

Warning

Hoewel dit niet wordt aanbevolen, kunnen sommige beheerders ervoor kiezen om de CA-functieservice op de bronserver te laten installeren, zodat de bron-CA snel online kan worden gebracht als de migratie mislukt. Als u ervoor kiest om de CA-functieservice niet van de bronserver te verwijderen voordat u de CA-functieservice op de doelserver installeert, is het belangrijk dat u de Active Directory Certificate Services-service (Certsvc) uitschakelt en de bronserver afsluit voordat u de CA-functieservice op de doelserver installeert. Verwijder de CA-functieservice niet van de bronserver nadat u de migratie naar de doelserver hebt voltooid.

Als u de CA-functieservice wilt verwijderen, gebruikt u de wizard Functies en onderdelen verwijderen in Serverbeheer.

  1. Selecteer Beheren in Serverbeheer en verwijder functies en onderdelen.
  2. Selecteer Volgende in de wizard totdat u bij Serverfuncties bent.
  3. Schakel bij Serverfuncties onder Active Directory Certificate Services het selectievakje voor certificeringsinstantie uit.
  4. Bevestig dat u ook functies wilt verwijderen waarvoor certificeringsinstantie is vereist.
  5. Selecteer Volgende totdat u bij de bevestigingspagina bent. Selecteer vervolgens Verwijderen.
  6. Controleer of de rol is verwijderd.

De bronserver uit het domein verwijderen

Omdat computernamen uniek moeten zijn binnen een Active Directory-domein, moet u de bronserver uit het domein verwijderen en het bijbehorende computeraccount uit Active Directory verwijderen voordat u de doelserver aan het domein gaat toevoegen.

Voer de volgende procedure uit om de bronserver uit het domein te verwijderen.

De bronserver uit het domein verwijderen met behulp van PowerShell

Gebruik de Windows PowerShell-cmdlet Remove-ADComputer om het computeraccount uit AD DS te verwijderen.

Als u een specifieke computer uit Active Directory wilt verwijderen, gebruikt u de volgende opdracht:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

De -Identity-parameter wordt gebruikt om een Active Directory-computerobject te specificeren door een van de volgende eigenschapswaarden op te geven: onderscheidende naam, GA GUID (objectGUID), beveiligings-id (objectSid) of Security Accounts Manager-accountnaam (sAMAccountName).

De doelserver toevoegen aan het domein

Voordat u de doelserver aan het domein gaat toevoegen, wijzigt u de computernaam in dezelfde naam als de bronserver. Voer vervolgens de procedure uit om de doelserver aan het domein toe te voegen.

Als de doelserver draait op de Server Core-installatieoptie, moet u de commandoregelprocedure gebruiken.

Als u de naam van de doelserver wilt wijzigen, moet u lid zijn van de lokale groep Administrators. Als u de server wilt toevoegen aan het domein, moet u lid zijn van de groepen Domeinadministratoren of Ondernemingsadministratoren of gemachtigd zijn om de doelserver toe te voegen aan een organisatie-eenheid (OE) in het domein.

Important

Als u een zelfstandige CA migreert die geen domeinlid is, voert u alleen de stappen uit om de naam van de doelserver te wijzigen en koppelt u de doelserver niet aan het domein.

De doelserver toevoegen aan het domein met behulp van PowerShell

  1. Open op de doelserver een PowerShell-venster met verhoogde bevoegdheid.

  2. Gebruik de cmdlet Rename-Computer door het volgende te typen:

    Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart

  3. Nadat de doelserver opnieuw is opgestart, meldt u zich aan met een account dat gemachtigd is om computers aan het domein toe te voegen.

  4. Open een PowerShell-venster met verhoogde bevoegdheid en gebruik de cmdlet Add-Computer om een computer toe te voegen aan een domein.

    Add-Computer -DomainName Domain01 -Restart

De CA-functieservice toevoegen aan de doelserver

In deze sectie worden twee verschillende procedures beschreven voor het toevoegen van de CA-functieservice aan de doelserver, inclusief speciale instructies voor het gebruik van failoverclustering.

Bekijk de volgende instructies om te bepalen welke procedures moeten worden voltooid.

  • Als op uw doelserver de Server Core-installatieoptie wordt uitgevoerd, kunt u Windows PowerShell gebruiken om de CA te installeren met behulp van de cmdlet Install-AdcsCertificationAuthority.

  • Als u migreert naar een CA die gebruikmaakt van een HSM, voert u de procedures voor het importeren van het CA-certificaat uit en voegt u de CA-functieservice toe.

  • Als u migreert naar een CA die failoverclustering gebruikt, moeten de procedures voor het importeren van het CA-certificaat en het toevoegen van de CA-functieservice op elk clusterknooppunt worden voltooid. Nadat de CA-functieservice aan elk knooppunt is toegevoegd, stopt u de Active Directory Certificate Services-service (Certsvc). Controleer ook of:

    • De gedeelde opslag die door de CA wordt gebruikt, is online en toegewezen aan het knooppunt waaraan u de CA-functieservice toevoegt.
    • De CA-database en logboekbestanden moeten zich in gedeelde opslag bevinden.

Het CA-certificaat importeren

Als u de CA-functieservice toevoegt met Serverbeheer, voert u de volgende procedure uit om het CA-certificaat te importeren.

Het CA-certificaat importeren

  1. Start de module Certificaten voor het lokale computeraccount.

  2. Dubbelklik in de consolestructuur op Certificaten (lokale computer) en selecteer Persoonlijk.

  3. Selecteer alle taken in het menu Actie en selecteer vervolgens Importeren... om de wizard Certificaat importeren te openen. Kies Volgende.

  4. Zoek het <bestand CAName.p12> dat is gemaakt door het CA-certificaat en de back-up van de persoonlijke sleutel op de bron-CA en selecteer Openen.

  5. Typ het wachtwoord en selecteer OK.

  6. Selecteer Alle certificaten in het volgende archief plaatsen.

  7. Controleer of Personal wordt weergegeven in het certificaatarchief. Als dat niet het is, selecteert u Bladeren, Persoonlijk, selecteert u OK.

    Note

    Als u een netwerk-HSM gebruikt, voert u stap 8 tot en met 10 uit om de koppeling tussen het geïmporteerde CA-certificaat en de persoonlijke sleutel die is opgeslagen in de HSM te herstellen. Anders selecteert u Voltooien om de wizard te voltooien en selecteert u OK om te bevestigen dat het certificaat is geïmporteerd.

  8. Dubbelklik in de consolestructuur op Persoonlijke certificaten en selecteer het geïmporteerde CA-certificaat.

  9. Selecteer Openen in het menu Actie. Selecteer het tabblad Details , kopieer het serienummer naar het Klembord en selecteer VERVOLGENS OK.

  10. Open een opdrachtpromptvenster, typ certutil –repairstore My"{Serialnumber}" en druk op Enter.

De CA-functieservice toevoegen

Als uw doelserver een domeinlid is, moet u een account gebruiken dat lid is van de groep Domeinadministrators of Ondernemingsadministrators, zodat de installatiewizard toegang heeft tot objecten in AD DS. Voeg de CA-functieservice toe met Serverbeheer of PowerShell.

Important

Als u een back-up hebt gemaakt van het CAPolicy.inf-bestand van de bron-CA, controleert u de instellingen en voert u indien nodig wijzigingen aan. Kopieer het bestand CAPolicy.inf naar de map %windir% (standaard C:\Windows) van de doel-CA voordat u de CA-functieservice toevoegt.

Volg deze stappen om de CA-functieservice toe te voegen met Serverbeheer.

  1. Meld u aan bij de doelserver en start Serverbeheer.

  2. Selecteer Rollen in de consolestructuur.

  3. Selecteer Rollen toevoegen in het menu Actie.

  4. Als de pagina Voordat u begint wordt weergegeven, selecteert u Volgende.

  5. Schakel op de pagina Serverfuncties selecteren het selectievakje Active Directory Certificate Services in en selecteer Volgende.

  6. Selecteer Volgende op de pagina Inleiding tot AD CS.

  7. Schakel op de pagina Functieservices het selectievakje Certificeringsinstantie in en selecteer Volgende.

    Note

    Als u van plan bent om andere functieservices op de doelserver te installeren, moet u eerst de CA-installatie voltooien en vervolgens andere functieservices afzonderlijk installeren. Installatieprocedures voor andere AD CS-functieservices worden niet beschreven in deze handleiding.

  8. Geef op de pagina Setuptype opgevenenterprise of standalone op, zodat deze overeenkomt met de bron-CA en selecteer Volgende.

  9. Geef op de pagina CA-type opgeven de basis-CA of onderliggende CA op, zodat deze overeenkomt met de bron-CA en selecteer Volgende.

  10. Selecteer Op de pagina Persoonlijke sleutel instellen de optie Bestaande persoonlijke sleutel gebruiken en selecteer een certificaat en gebruik de bijbehorende persoonlijke sleutel.

    Note

    Als een HSM wordt gebruikt door de CA, selecteert u de persoonlijke sleutel door de procedures van de HSM-leverancier te volgen.

  11. Selecteer in de lijst Certificaten het geïmporteerde CA-certificaat en selecteer vervolgens Volgende.

  12. Geef op de pagina CA-database de locaties op voor de CA-database en logboekbestanden.

  13. Controleer de berichten op de bevestigingspagina en selecteer vervolgens Configureren.

  14. Als u migreert naar een failovercluster, stopt u de Active Directory Certificate Services-service (Certsvc) en de HSM-service als uw CA een HSM gebruikt. Herhaal vervolgens de procedures voor het importeren van het CA-certificaat en voeg de CA-functieservice toe op andere clusterknooppunten.

Als u de CA-functieservice wilt installeren met behulp van PowerShell, gebruikt u de cmdlet Install-AdcsCertificationAuthority .

De CA herstellen

Nu is het tijd om de CA te herstellen. Herstel de CA-database, ca-registerinstellingen en certificaatsjabloonlijst indien nodig.

De CA-database en -configuratie op de doelserver herstellen

De procedures in deze sectie moeten pas worden voltooid nadat de CA-functieservice is geïnstalleerd op de doelserver.

Als u migreert naar een failovercluster, voegt u de CA-functieservice toe aan alle clusterknooppunten voordat u de CA-database herstelt. De CA-database moet worden hersteld op slechts één clusterknooppunt en moet zich in gedeelde opslag bevinden.

Het herstellen van de back-up van de bron-CA omvat de volgende taken:

  • De bron-CA-database op de doelserver herstellen
  • De bron-CA-registerinstellingen op de doelserver herstellen
  • De certificaatextensies op de doel-CA controleren
  • De lijst met certificaatsjablonen herstellen (alleen vereist voor CA's voor ondernemingen)

De bron-CA-database op de doelserver herstellen

In deze sectie worden verschillende procedures beschreven voor het herstellen van de back-up van de bron-CA-database op de doelserver met behulp van de module Certificeringsinstantie, PowerShell of Certutil.

Als u migreert naar een Server Core-installatie, moet u Certutil PowerShell gebruiken. Het is mogelijk om een CA die wordt uitgevoerd op een Server Core-installatie op afstand te beheren met behulp van de module Certificeringsinstantie en Serverbeheer. Het is echter alleen mogelijk om een CA-database extern te herstellen met behulp van Windows PowerShell.

Als u migreert naar een failovercluster, controleert u of gedeelde opslag online is en herstelt u de CA-database op slechts één clusterknooppunt.

Als u de CA-database wilt herstellen, begint u met Serverbeheer en gebruikt u de module Certificeringsinstantie om deze stappen uit te voeren:

  1. Meld u aan bij de doelserver met behulp van een account dat een CA-beheerder is.

  2. Start de module Certificeringsinstantie.

  3. Klik met de rechtermuisknop op het knooppunt met de CA-naam, wijs Alle taken aan en selecteer CA herstellen.

  4. Selecteer Volgende op de welkomstpagina.

  5. Selecteer op de pagina Te herstellen items de optie Certificaatdatabase en certificaatdatabaselogboek.

  6. Selecteer Bladeren. Navigeer naar de bovenliggende map met de databasemap (de map met de CA-databasebestanden die zijn gemaakt tijdens de back-up van de CA-database).

    Warning

    selecteer de map Database niet. Selecteer de bovenliggende map.

  7. Selecteer Volgende en selecteer Vervolgens Voltooien.

  8. Selecteer Ja om de CA-service (certsvc) te starten.

De bron-CA-registerinstellingen op de doelserver herstellen

De CA-configuratiegegevens worden opgeslagen in het register in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Voordat u de registerinstellingen van de bron-CA naar de doel-CA importeert, moet u een back-up maken van de standaard-CA-registerconfiguratie voor de doel-CA. Voer deze stappen uit op de doel-CA en geef het registerbestand een naam zoals 'DefaultRegCfgBackup.reg' om verwarring te voorkomen.

Important

Sommige registerparameters moeten worden gemigreerd zonder wijzigingen van de bron-CA-computer en sommige moeten niet worden gemigreerd. Als ze worden gemigreerd, moeten ze na de migratie worden bijgewerkt in het doelsysteem, omdat sommige waarden zijn gekoppeld aan de CA zelf, terwijl andere zijn gekoppeld aan de domeinomgeving, de fysieke host, de Windows-versie of andere factoren die mogelijk verschillen in het doelsysteem.

Een voorgestelde manier om het registerconfiguratie importeren uit te voeren, is eerst het registerbestand te openen dat u hebt geëxporteerd vanuit de bron-CA in een teksteditor en deze te analyseren op instellingen die mogelijk moeten worden gewijzigd of verwijderd.

Het registerbestand analyseren

  1. Klik met de rechtermuisknop op het tekstbestand .reg dat is gemaakt door de instellingen van de bron-CA te exporteren.

  2. Selecteer Bewerken om het bestand in een teksteditor te openen.

  3. Als de computernaam van de doel-CA verschilt van de computernaam van de bron-CA, zoekt u in het bestand naar de hostnaam van de bron-CA-computer. Zorg ervoor dat elk gevonden exemplaar van de hostnaam de juiste waarde heeft voor de doelomgeving. Wijzig zo nodig de hostnaam. Werk de waarde CAServerName bij.

  4. Controleer de registerwaarden die lokale bestandspaden aangeven, om ervoor te zorgen dat schijfletters en paden correct zijn voor de doelcertificeringsautoriteit (CA). Als de bron- en doel-CA niet overeenkomen, werkt u de waarden in het bestand bij of verwijdert u deze uit het bestand, zodat de standaardinstellingen op de doel-CA behouden blijven.

Warning

Sommige registerwaarden zijn gekoppeld aan de CA, terwijl andere zijn gekoppeld aan de domeinomgeving, de fysieke hostcomputer, de Windows-versie of zelfs andere functieservices. Daarom moeten sommige registerparameters worden gemigreerd zonder wijzigingen van de bron-CA-computer en andere niet. Elke waarde die niet wordt vermeld in het .reg tekstbestand dat op de doel-CA wordt hersteld, behoudt de bestaande instelling of standaardwaarde.

Verwijder registerwaarden die u niet wilt importeren in de doel-CA. Zodra het .reg tekstbestand is bewerkt, kan het worden geïmporteerd in de doel-CA. Door de registerinstellingen van de bronserver te importeren in de doelserver, wordt de configuratie van de bron-CA gemigreerd naar de doelserver.

De back-up van het bron-CA-register importeren op de doel-CA

  1. Meld u als lid van de lokale groep Administrators aan bij de doelserver.

  2. Open een opdrachtpromptvenster.

  3. Typ net stop certsvc en druk op Enter.

  4. Typ reg import "Registerinstellingen Backup.reg" en druk op Enter.

De ca-registerinstellingen bewerken

  1. Selecteer Start, typ regedit.exe in het vak Programma's en bestanden zoeken en druk op Enter om de Register-editor te openen.

  2. Zoek in de consolestructuur de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configurationen selecteer Configuratie.

  3. Dubbelklik in het detailvenster op DBSessionCount.

  4. Selecteer Hexadecimaal. Typ 64 in waardegegevens en selecteer vervolgens OK.

  5. Controleer of de locaties die in de volgende instellingen zijn opgegeven, juist zijn voor uw doelserver en wijzig deze indien nodig om de locatie van de CA-database en logboekbestanden aan te geven.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    Important

    Voer stap 6 tot en met 8 alleen uit als de naam van de doelserver verschilt van de naam van uw bronserver.

  6. Vouw configuratie uit in de consolestructuur van de registereditor en selecteer uw CA-naam.

  7. Wijzig de waarden van de volgende registerinstellingen door de naam van de bronserver te vervangen door de naam van de doelserver.

    Note

    In de volgende lijst worden CACertFileName- en ConfigurationDirectory-waarden alleen gemaakt wanneer bepaalde CA-installatieopties zijn opgegeven. Als deze twee instellingen niet worden weergegeven, kunt u doorgaan met de volgende stap.

    • CAServerName

    • CACertFileName

    • ConfigurationDirectory: deze waarde moet worden weergegeven in het Windows-register op de volgende locatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Certificaatextensies op de doel-CA controleren

De stappen die worden beschreven voor het importeren van de registerinstellingen van de bron-CA en het bewerken van het register als er een servernaamwijziging is, zijn bedoeld om de netwerklocaties te behouden die door de bron-CA zijn gebruikt om CRL's en CA-certificaten te publiceren. Als de bron CA naar standaardlocaties van Active Directory is gepubliceerd, moet er na het voltooien van de vorige procedure een extensie zijn waarbij de publicatieopties ingeschakeld zijn, en een LDAP-URL die verwijst naar de NetBIOS-naam van de bronserver; bijvoorbeeld ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Omdat veel beheerders extensies configureren die zijn aangepast voor hun netwerkomgeving, is het niet mogelijk om exacte instructies te geven voor het configureren van CRL-distributiepunt en toegangsextensies voor autoriteitsgegevens.

Controleer zorgvuldig de geconfigureerde locaties en publicatieopties en zorg ervoor dat de extensies juist zijn volgens de vereisten van uw organisatie.

Extensies controleren met behulp van de module Certificeringsinstantie

  1. Controleer en wijzig het CRL-distributiepunt en de instantie-informatie toegangsextensies en publicatieopties door voorbeeldprocedures te volgen die worden beschreven in CRL-distributiepunten opgeven (https://go.microsoft.com/fwlink/?LinkID=145848).

  2. Als de naam van de doelserver verschilt van de naam van de bronserver, voegt u een LDAP-URL toe die verwijst naar de NetBIOS-naam van de doelserver met de vervangingsvariabele <ServerShortName>, bijvoorbeeld ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

  3. Zorg ervoor dat de CDP-opties zo zijn ingesteld dat de voormalige CDP-locatie niet is opgenomen in de CDP-extensie van nieuw uitgegeven certificaten of in de meest recente CRL-extensie van CRL's.

De lijst met certificaatsjablonen herstellen

De volgende procedure is alleen vereist voor een certificeringsautoriteit voor ondernemingen. Een zelfstandige CA heeft geen certificaatsjablonen.

Certificaatsjablonen toewijzen aan de doel-CA

  1. Meld u aan met beheerdersinloggegevens bij de doel-CA.

  2. Open een opdrachtpromptvenster.

  3. Typ: certutil -setcatemplates + <templatelist> en druk op Enter.

    Note

    Vervang de sjabloonlijst door een door komma's gescheiden lijst met de sjabloonnamen die worden vermeld in het catemplates.txt bestand dat is gemaakt tijdens de procedure 'Een lijst met CA-sjablonen opnemen met behulp van Certutil.exe'. Bijvoorbeeld certutil -setcatemplates +Administrator, Gebruiker, DomainController.

Machtigingen verlenen voor AIA- en CDP-containers

Als de naam van de doelserver verschilt van de bronserver, moet de doelserver machtigingen krijgen voor de CDP- en AIA-containers van de bronserver in AD DS om CRL's en CA-certificaten te publiceren. Voer de volgende procedure uit als er een servernaamwijziging is.

Machtigingen verlenen voor de AIA- en CDP-containers

  1. Meld u aan als lid van de groep Enterprise Admins op een computer waarop de Active Directory Sites en Services-snap-in is geïnstalleerd. Open Active Directory-sites en -services (dssite.msc).

  2. Selecteer het bovenste knooppunt in de consolestructuur.

  3. Selecteer Services-knooppunt weergeven in het menu Beeld.

  4. Vouw In de consolestructuur Services uit, vouw Openbare sleutelservices uit en selecteer vervolgens AIA.

  5. Klik in het detailvenster met de rechtermuisknop op de naam van de CA en selecteer Vervolgens Eigenschappen.

  6. Selecteer het tabblad Beveiliging en selecteer vervolgens Toevoegen.

  7. Selecteer Objecttypen, selecteer Computers en selecteer vervolgens OK.

  8. Typ de naam van de CA en selecteer OK.

  9. Selecteer In de kolom Toestaande optie Volledig beheer en selecteer Toepassen.

  10. Het vorige CA-computerobject wordt weergegeven (als Account onbekend met een beveiligings-id die hierop volgt) in groeps- of gebruikersnamen. U kunt dat account verwijderen. Als u dit wilt doen, selecteert u deze en selecteert u Vervolgens Verwijderen. Kies OK.

  11. Vouw CDP uit in de consolestructuur en selecteer vervolgens de map met dezelfde naam als de CA.

  12. Klik in het detailvenster met de rechtermuisknop op het item CRLDistributionPoint boven aan de lijst en selecteer Vervolgens Eigenschappen.

  13. Selecteer het tabblad Beveiliging en selecteer vervolgens Toevoegen.

  14. Selecteer Objecttypen, selecteer Computers en selecteer vervolgens OK.

  15. Typ de naam van de doelserver en selecteer OK.

  16. Selecteer In de kolom Toestaande optie Volledig beheer en selecteer Toepassen.

  17. Het vorige CA-computerobject wordt weergegeven (als Account onbekend met een beveiligings-id die hierop volgt) in groeps- of gebruikersnamen. U kunt dat account verwijderen. Als u dit wilt doen, selecteert u deze en selecteert u Vervolgens Verwijderen. selecteer OK.

  18. Herhaal stap 13 tot en met 18 voor elk CRLDistributionPoint-item .

Note

Als u de syntaxis "file//\computer\share" gebruikt in de CDP-extensies voor het publiceren van de CRL naar een locatie voor een gedeelde map, moet u mogelijk de machtigingen voor die gedeelde map aanpassen, zodat de doel-CA naar die locatie kan schrijven. Als u de CDP host op de doelserver en een AIA- of CDP-pad gebruikt dat een aliasnaam (bijvoorbeeld pki.contoso.com) voor de bestemming bevat, moet u mogelijk de DNS-record aanpassen zodat deze verwijst naar het juiste IP-adres van het doel.

Extra procedures voor failoverclustering

Als u migreert naar een failovercluster, voert u de volgende procedures uit nadat de CA-database en registerinstellingen zijn gemigreerd naar de doelserver.

  • Het configureren van failoverclustering voor de doel-CA
  • Machtigingen verlenen voor openbare-sleutelcontainers
  • De DNS-naam voor een geclusterde CA bewerken in AD DS
  • CRL-distributiepunten configureren voor failoverclusters

Het configureren van failoverclustering voor de doel-CA

Als u migreert naar een failovercluster, voert u de volgende procedures uit om failoverclustering voor AD CS te configureren.

AD CS configureren als clusterresource

  1. Selecteer Start, wijs Uitvoeren aan, typ Cluadmin.msc en selecteer vervolgens OK.

  2. Selecteer Services en toepassingen in de consolestructuur van de module Failoverclusterbeheer.

  3. Selecteer een service of toepassing configureren in het menu Actie. Als de pagina Voordat u begint wordt weergegeven, selecteert u Volgende.

  4. Selecteer Algemene service in de lijst met services en toepassingen en selecteer Volgende.

  5. Selecteer Active Directory Certificate Services in de lijst met services en selecteer Volgende.

  6. Geef een servicenaam op en selecteer Volgende.

  7. Selecteer de schijfopslag die nog steeds aan het knooppunt is gekoppeld en selecteer Volgende.

  8. Als u een gedeelde register hive wilt configureren, selecteert u Toevoegen, typt u SYSTEM\CurrentControlSet\Services\CertSvc en selecteert u VERVOLGENS OK. Selecteer Volgende twee keer.

  9. Selecteer Voltooien om de failoverconfiguratie voor AD CS te voltooien.

  10. Dubbelklik in de consolestructuur op Services en toepassingen en selecteer de zojuist gemaakte geclusterde service.

  11. Selecteer Algemene service in het detailvenster. Selecteer Eigenschappen in het menu Actie.

  12. Wijzig de resourcenaam in de certificeringsinstantie en selecteer OK.

Als u een HSM (Hardware Security Module) voor uw CA gebruikt, voert u de volgende procedure uit.

Een afhankelijkheid maken tussen een CA en de netwerk-HSM-service

  1. Open de module Failoverclusterbeheer. Selecteer Services en toepassingen in de consolestructuur.

  2. Selecteer in het detailvenster de eerder gemaakte naam van de geclusterde service.

  3. Selecteer een resource toevoegen in het menu Actie en selecteer vervolgens Algemene service.

  4. Selecteer in de lijst met beschikbare services die worden weergegeven door de wizard Nieuwe resource de naam van de service die is geïnstalleerd om verbinding te maken met uw netwerk-HSM. Selecteer Volgende twee keer en selecteer Vervolgens Voltooien.

  5. Selecteer onder Services en toepassingen in de consolestructuur de naam van de geclusterde services.

  6. Selecteer in het detailvenster de zojuist gemaakte algemene service. Selecteer Eigenschappen in het menu Actie.

  7. Wijzig desgewenst de servicenaam op het tabblad Algemeen en selecteer OK. Controleer of de dienst actief is.

  8. Selecteer in het detailvenster de service met de naam Certificeringsinstantie. Selecteer Eigenschappen in het menu Actie.

  9. Selecteer Invoegen op het tabblad Afhankelijkheden, selecteer de netwerk-HSM-service in de lijst en selecteer OK.

Machtigingen verlenen voor openbare-sleutelcontainers

Als u migreert naar een failovercluster, voert u de volgende procedures uit om alle clusterknooppunten machtigingen te verlenen voor de volgende AD DS-containers:

  • De AIA-container
  • De inschrijvingscontainer
  • De KRA-container

Machtigingen verlenen voor openbare-sleutelcontainers in AD DS

  1. Meld u aan bij een domeinlidcomputer als lid van de groep Domeinadministrators of ondernemingsadministrators.

  2. Selecteer Start, wijs Uitvoeren aan, typ dssite.msc en selecteer VERVOLGENS OK.

  3. Selecteer het bovenste knooppunt in de consolestructuur.

  4. Selecteer Services-knooppunt weergeven in het menu Beeld.

  5. Vouw In de consolestructuur Services, vervolgens Public Key Services uit en selecteer vervolgens AIA.

  6. Klik in het detailvenster met de rechtermuisknop op de naam van de bron-CA en selecteer Eigenschappen.

  7. Selecteer het tabblad Beveiliging en selecteer vervolgens Toevoegen.

  8. Selecteer Objecttypen, selecteer Computers en selecteer vervolgens OK.

  9. Typ de computeraccountnamen van alle clusterknooppunten en selecteer OK.

  10. Schakel in de kolom Toestaan het selectievakje Volledig beheer in naast elk clusterknooppunt en selecteer OK.

  11. Selecteer Inschrijvingsservices in de consolestructuur.

  12. Klik in het detailvenster met de rechtermuisknop op de naam van de bron-CA en selecteer Eigenschappen.

  13. Selecteer het tabblad Beveiliging en selecteer vervolgens Toevoegen.

  14. Selecteer Objecttypen, selecteer Computers en selecteer vervolgens OK.

  15. Typ de computeraccountnamen van alle clusterknooppunten en selecteer OK.

  16. Schakel in de kolom Toestaan het selectievakje Volledig beheer in naast elk clusterknooppunt en selecteer OK.

  17. Selecteer KRA in de consolestructuur.

  18. Klik in het detailvenster met de rechtermuisknop op de naam van de bron-CA en selecteer Eigenschappen.

  19. Selecteer het tabblad Beveiliging en selecteer vervolgens Toevoegen.

  20. Selecteer Objecttypen, selecteer Computers en selecteer vervolgens OK.

  21. Typ de namen van alle clusterknooppunten en selecteer OK.

  22. Schakel in de kolom Toestaan het selectievakje Volledig beheer in naast elk clusterknooppunt en selecteer OK.

De DNS-naam voor een geclusterde CA bewerken in AD DS

Toen de CA-service is geïnstalleerd op het eerste clusterknooppunt, is het object Enrollment Services gemaakt en is de DNS-naam van dat clusterknooppunt toegevoegd aan het kenmerk dNSHostName van het object Enrollment Services. Omdat de CA moet worden uitgevoerd op alle clusterknooppunten, moet de waarde van het kenmerk dNSHostName van het object Enrollment Services de servicenaam zijn die is opgegeven in stap 6 van de procedure 'AD CS configureren als clusterresource'.

Als u migreert naar een geclusterde CA, voert u de volgende procedure uit op het actieve clusterknooppunt. Het is nodig om de procedure op slechts één clusterknooppunt te voltooien.

De DNS-naam voor een geclusterde CA bewerken in AD DS

  1. Meld u als lid van de groep Ondernemingsadministrators aan bij het actieve clusterknooppunt.

  2. Selecteer Start, wijs Uitvoeren aan, typ adsiedit.msc en selecteer vervolgens OK.

  3. Selecteer ADSI Bewerken in de consolestructuur.

  4. Selecteer Verbinding maken in het menu Actie.

  5. Selecteer Configuratie in de lijst met bekende naamgevingscontexten en selecteer OK.

  6. Vouw in de consolestructuur configuratie, services en openbare sleutelservices uit en selecteer Inschrijvingsservices.

  7. Klik in het detailvenster met de rechtermuisknop op de naam van de cluster-CA en selecteer Eigenschappen.

  8. Selecteer dNSHostName en selecteer Bewerken.

  9. Typ de servicenaam van de CA zoals weergegeven onder Failoverclusterbeheer in de module Failoverclusterbeheer en selecteer OK.

  10. Selecteer OK om wijzigingen op te slaan.

CRL-distributiepunten configureren voor failoverclusters

In de standaardconfiguratie van een CA wordt de korte naam van de server gebruikt als onderdeel van het CRL-distributiepunt en locaties voor toegang tot autoriteitsgegevens.

Wanneer een CA wordt uitgevoerd op een failovercluster, moet de korte naam van de server worden vervangen door de korte naam van het cluster in het CRL-distributiepunt en de toegangslocaties voor autoriteitsgegevens. Als u de CRL in AD DS wilt publiceren, moet de CRL-distributiepuntcontainer handmatig worden toegevoegd.

Important

De volgende procedures moeten worden uitgevoerd op het actieve clusterknooppunt.

De geconfigureerde CRL-distributiepunten wijzigen

  1. Meld u als lid van de lokale groep Administrators aan bij het actieve clusterknooppunt.

  2. Selecteer Start, selecteer Uitvoeren, typ regedit en selecteer VERVOLGENS OK.

  3. Zoek de registersleutel \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

  4. Kies de naam van de certificeringsautoriteit.

  5. Dubbelklik in het rechterdeelvenster op CRLPublicationURLs.

  6. Vervang in de tweede regel %2 door de servicenaam die is opgegeven in stap 6 van de procedure 'AD CS configureren als clusterresource'.

    Tip

    De servicenaam wordt ook weergegeven in de module Failoverclusterbeheer onder Services en toepassingen.

  7. Start de CA-service opnieuw.

  8. Open een opdrachtprompt, typ certutil -CRL en druk op Enter.

    Note

    Als er een foutbericht 'Directory-object niet gevonden' wordt weergegeven, voert u de volgende procedure uit om de CRL-distributiepuntcontainer in AD DS te maken.

De CRL-distributiepuntcontainer maken in AD DS

  1. Typ bij een opdrachtprompt cd %windir%\System32\CertSrv\CertEnroll en druk op Enter. Het CRL-bestand dat is gemaakt door de opdracht certutil -CRL moet zich in deze map bevinden.

  2. Als u de CRL in AD DS wilt publiceren, typt u certutil -f -dspublish"CRLFile.crl" en drukt op Enter.

Volgende stap

Nadat u de procedures voor het migreren van de CA hebt voltooid, moet u de procedures voltooien die worden beschreven in Het verifiëren van de migratie van de certificeringsinstantie.

  • Last updated on